Sécurité de l'information pour Métro

Voici l'une des études de cas retenues par Terranova et ciblant des organisations qui ont déployé des campagnes de sensibilisation avec succès.

Étude de cas

Voyez par vous-même !

Voulez-vous savoir comment votre organisation peut aussi profiter de la solution de sensibilisation à la sécurité de l'information de Terranova?

« Les cours de formation en ligne de Terranova, son module LMS et ses bulletins nous ont donné tous les outils qu'il nous fallait pour réaliser un programme de sécurité de l'information équilibré inspiré des meilleures pratiques. »

– Lauréat Desmeules
Director support activities,
Information system
Metro Richelieu

Vision

Il y a déjà longtemps que l'équipe de sécurité de Metro, chef de file de l'industrie pharmaceutique et alimentaire au Québec et en Ontario, a compris la nécessité de sensibiliser ses employés à la sécurité de l'organisation et de ses clients.

C'était bien avant que la loi Sarbanes-Oxley (SOX), la loi (GLBA), la Health Insurance Portability and Accountability Act (HIPAA) ou encore la Norme de sécurité informatique des données de l'industrie des cartes de paiement (PCI-DSS) ne s'imposent aux conseils d'administration.

Métro en bref
Avec des ventes annuelles de près de onze milliards de dollars et plus de 65 000 employés, l'entreprise Metro Inc. est un chef de file des secteurs pharmaceutique et alimentaire au Québec et en Ontario. Elle exploite un réseau de près de 600 épiceries sous plusieurs bannières, dont Metro; Metro plus; Super C et Food Basics, ainsi que 250 pharmacies sous les bannières Brunet; Clini Plus; The Pharmacy et Drug Basics.


Problématique

Règlementation accrue
En 2003, la loi fédérale américaine SOX n'en est qu'à ses premiers balbutiements. Elle a été adoptée le 30 juillet 2002 en réaction à plusieurs gros scandales financiers comme ceux de Tyco International, d'Enron et de WorldCom. Au Canada, les Autorités canadiennes en valeurs mobilières (ACVM) et l'Ontario Securities Commission (OSC) entreprennent à la même époque un vaste processus de consultation. Elles soumettent aux commentaires du public une série d'instruments juridiques destinés à appliquer les principales dispositions de la loi Sarbanes-Oxley au marché financier canadien.

Norme de sécurité internationale
À la suite de cette consultation, les sociétés cotées en bourses sont tenues de respecter les dispositions de la loi SOX en les adaptant à la nature des marchés canadiens. La norme PCI-DSS commence elle aussi à s'imposer aux entreprises qui traitent des données de cartes de crédit. Cette norme de sécurité vise à éviter la fraude par carte de crédit, le piratage informatique et diverses failles et menaces en matière de sécurité.

Toutes ces normes et ces lois exigent des entreprises qu'elles fassent la preuve qu'elles ont adopté des méthodes efficaces pour former les employés aux bonnes pratiques de sécurité assurant ainsi une bonne protection de leurs données.


Solution

Sensibilisation de sécurité de l'information
« En 2003, nous savions que pour mettre en place un programme de sécurité vraiment efficace, outre les règles et les règlements envisagés pour le secteur, il fallait informer les employés des risques potentiels et veiller à ce qu'ils comprennent nos politiques en matière de sécurité », déclare Lauréat (Larry) Desmeules, directeur des TI chez Metro. « Nous avons su prévoir la portée des mesures de sécurité et nous avons conçu un plan clair et précis pour répondre aux besoins de notre organisation ».



Formation en ligne
Dans cette optique, la formation en ligne s'est avéré un élément opportun et rentable qui a facilité la mise en place d'un programme efficace de sensibilisation à la sécurité chez Metro. En adoptant un programme de formation complet et « prêt à utiliser », lequel est offert accompagné d'un plan de communication et de documentation de soutien, l'organisation s'est dotée d'un outil puissant et économique pour atteindre ses objectifs.


Implantation

Le mot clé : La flexibilité

« Si l'équipe de sécurité en TI a préparé et mis en œuvre cette solution, c'est le service des ressources humaines qui le gère désormais. La simplicité et la capacité d'adaptation du programme de Terranova permettent à notre service des TI de se concentrer sur ses tâches principales, qui consistent à fournir des contenus actualisés sur la sécurité, pendant que les ressources humaines administrent le programme pour les employés », explique monsieur Desmeules. « Nous avons ainsi pu atteindre des milliers d'employés. Pendant toutes ces années, Terranova a travaillé en étroite collaboration avec nous pour répondre à nos besoins en constante évolution ».

Six ans plus tard, Metro utilise toujours activement le programme de sensibilisation à la sécurité

Les nouveaux employés sont tenus de suivre le cours dès l'embauche. Et lorsque l'adoption de nouvelles politiques entraîne la modification de son contenu, les employés en sont informés et doivent se connecter pour mettre à jour leurs connaissances.


Bénéfices

Aujourd'hui, tout le monde reconnait que les entreprises ont besoin de formation et de communications efficaces concernant les procédures et politiques internes de sécurité. Elles doivent se conformer aux diverses lois et normes. Très tôt, Metro a satisfait à ces exigences en dotant l'entreprise d'un outil pédagogique perfectionné qui a pu modifier le comportement de ses employés en matière de sécurité.

« Les cours de formation en ligne de Terranova, son module LMS et ses bulletins nous ont donné tous les outils qu'il nous fallait pour réaliser un programme de sécurité de l'information équilibré inspiré des meilleures pratiques. »

– Lauréat Desmeules
Director support activities,
Information system
Metro Richelieu